Hinweise zum Umgang mit dem Locky

advertisement
Hinweise zum Umgang mit dem Locky-Virus
Auf dem Rechner einer Sekretärin war ein Locky-Virus. Uns ist es gelungen, alle wichtigen
Daten wiederherzustellen. Bei dieser „Arbeit“ haben wir folgende Erkenntnisse gewonnen:
1. Anti-Virensoftware
Die Rescue-CD’s von Kaspersky und Avira haben einen Befall vermeldet.
Mit zwei Tage alter Virensignatur hat McAfee keine Infektion vermeldet. Da wir zur
Aktualisierung der Virensignaturen eine Verbindung ins Netzwerk unter Windows hätten
herstellen müssen, haben wir darauf verzichtet, die Signatur zu aktualisieren.
2. Wo haben wir Locky überall gefunden?
Locky schreibt sich in den Autostart.
Außerdem ist er in folgendem Verzeichnis zu finden:
C:\Benutzer\<Benutzername>\AppData\Local\Temp.
3. Welche Dateien wurden verschlüsselt?
•
Locky verschlüsselt alle gängigen Dateitypen.
•
Auch die Dateien angeschlossener Datenträger werden rigoros verschlüsselt. Das
betrifft auch Backups, die durch einfaches Kopieren gewonnen wurden. Deshalb
sollte überlegt werden, ob die Datenträger nur zur manuellen Erstellung des Backups
an den PC angehangen werden.
4. Welche Dateien wurden nicht verschlüsselt?
•
•
•
Die Dateien/Ordner im Verzeichnis
C:\Benutzer\<Benutzername>\AppData\Local\Temp wurden nicht verschlüsselt.
Vielleicht hat man Glück und findet hier noch etwas Brauchbares.
Die Schule hatte beim Speichern ihrer Excel-Tabellen mit den Schülerdaten einen
Haken bei Sicherungskopie.
Excel: Speichern unter …  Tools  Allgemeine Optionen…  Haken bei
Sicherungsdatei erstellen
Dadurch wird bei jedem Speichern sowohl die Excel-Datei als auch eine
Sicherungskopie erstellt. Diese hatte (mit Office 2003) die Endung.xlk.
Diese Sicherungskopien waren nicht verschlüsselt.
Außerdem hat das SenBJW-Image für die Verwaltungsrechner den Computerschutz
angestellt. Die Einstellung kann man mit Administratorrechten überprüfen:
rechter Mausklick auf Computer  Eigenschaften  Computerschutz 
Computerschutz
Hier kann man sehen, ob der Computerschutz eingeschaltet ist. Der für die Sicherung
vorgesehene Speicherplatz ist über Konfigurieren… sichtbar.
Offensichtlich kommt man an diese Sicherungen nur als Administrator heran. Da die
Sekretärin nur eingeschränkte Rechte hatte, hatte auch Locky hier keine Chance.
Wie kommt man an diese Sicherungsdateien heran?
Über den Windows-Explorer mit Rechtsklick auf das Laufwerk C:.
Dann Eigenschaften  Vorgängerversionen  eine Vorgängerversion (jüngste?)
anklicken  Kopieren wählen und dann auf eine externe Festplatte kopieren.
Zum Glück war hier eine Sicherung aus jüngster Vergangenheit, die unverschlüsselt
war. Eine Kontrolle ergab, dass diese Sicherungsdateien virenfrei waren.
Wir haben einen neuen Rechner für die Sekretärin aufgesetzt und dann die relevanten
Dateien aus der Sicherung auf diesen Rechner kopiert. Ob man diese Sicherungen auch
nutzen kann, um den PC als Ganzes wieder herzustellen, weiß ich nicht. Auf den ersten
Blick würden wir davon abraten.
Herunterladen